البرتغال Marketplace Integrationالبرتغال E-Commerce Packagesالبرتغال Corporate Websiteالبرتغال Custom Softwareالبرتغال Company Formationالبرتغال Fulfillment Centerالبرتغال Product Storageالبرتغال Mobile App Development
Login
البرتغال · تأسيس شركة

دليل شامل RGPD + القانون 58/2019 لعام 2026: هيئة CNPD، موافقة ملفات تعريف الارتباط، مسؤول حماية البيانات، الإخطار خلال 72 ساعة، غرامات حتى 20 مليون يورو.

🇵🇹 دليل الامتثال لـ RGPD البرتغالي — إصدار 2026

RGPD وCNPD للتجارة الإلكترونية البرتغالية 2026: حماية البيانات وموافقة ملفات تعريف الارتباط ودليل الامتثال

إدارة متجر إلكتروني في البرتغال عام 2026 تعني العمل ضمن ثلاثة أطر قانونية متداخلة: RGPD (اللائحة العامة لحماية البيانات في الاتحاد الأوروبي، المعروفة محليًا باسم Regulamento Geral de Proteção de Dados)، والقانون رقم 58/2019 (LPDP) — قانون التطبيق البرتغالي — والقرارات الملزمة الصادرة عن CNPD (Comissão Nacional de Proteção de Dados). مع غرامات CNPD التي تصل إلى 20 مليون يورو أو 4% من حجم الأعمال العالمي، وموافقة إلزامية على ملفات تعريف الارتباط لكل زائر، ونافذة إخطار بالخرق مدتها 72 ساعة، وتدقيق مشدد بعد قضية Schrems II على كل عملية نقل خارج المنطقة الاقتصادية الأوروبية، أصبح الامتثال بنية تحتية تشغيلية. يغطي هذا الدليل جميع الركائز العشر للامتثال لـ RGPD في التجارة الإلكترونية البرتغالية، وأنماط تطبيق CNPD الدقيقة، وقائمة تحقق عملية لعام 2026.

✓ RGPD + القانون 58/2019 ✓ أنماط تطبيق CNPD ✓ موافقة ملفات تعريف الارتباط + مسؤول حماية البيانات ✓ إخطار خلال 72 ساعة + عمليات نقل SCC
zunapro.com/panel/portugal/rgpd
RGPD Console امتثال 100%
تقييم CNPD A+ / 10
الموافقات
18,742
↑ 312 اليوم
طلبات مفتوحة
4
↑ 0% SLA
خطر الخرق
منخفض
↑ 99.8%
آخر 7 أيام · معدل الموافقة % 71.4%↑ 8.2%
اثنينثلاثاءأربعاءخميسجمعةسبتاليوم
طلبات أصحاب البيانات مباشر
#DSR-0412 الحق في الوصول — joao.silva@… قيد الانتظار
#DSR-0411 الحق في المحو — m.santos@… قيد المعالجة
#DSR-0410 قابلية نقل البيانات — a.costa@… تم التسليم
RGPD نشط · تسجيل تدقيق CNPD قيد الكتابة · سجل المعالجة محدّث
20 مليون €
الحد الأقصى لغرامة RGPD (أو 4% من حجم الأعمال)
72 ساعة
نافذة الإخطار بالخرق
30 يومًا
اتفاقية مستوى خدمة طلبات أصحاب البيانات
10 سنوات
الاحتفاظ بالفواتير (قانون ضريبة القيمة المضافة)

لمحة عن RGPD البرتغالي 2026 — قراءة سريعة

تطبق البرتغال اللائحة العامة لحماية البيانات في الاتحاد الأوروبي 2016/679 (RGPD) بشكل كامل، مع طبقة إضافية من القانون الوطني رقم 58/2019 (LPDP) الصادر في 8 أغسطس 2019. الهيئة الرقابية هي CNPD (Comissão Nacional de Proteção de Dados)، ومقرها لشبونة. يجب على كل شركة تجارة إلكترونية برتغالية تشغيل لافتة موافقة ملفات تعريف ارتباط متوافقة، وسياسة خصوصية باللغة البرتغالية، وسجل أنشطة معالجة (ROPA)، واتفاقيات معالجة بيانات بموجب المادة 28 مع كل معالج بيانات، وقدرة تشغيلية على تلبية طلبات أصحاب البيانات خلال 30 يومًا وإخطار CNPD بالخروقات خلال 72 ساعة. تصل الغرامات إلى 20 مليون يورو أو 4% من حجم الأعمال السنوي العالمي — فرضت CNPD عقوبات بملايين اليوروهات منذ عام 2018.

مشهد حماية البيانات البرتغالي في 2026

تحكم ثلاث أدوات قانونية وهيئة رقابية واحدة البيانات الشخصية لأي متجر إلكتروني في البرتغال. مجموعة البطاقات أدناه — احتفظ بها قريبًا عند قراءة كل قسم بالتفصيل.

RGPD — Regulamento Geral de Proteção de Dados

لائحة الاتحاد الأوروبي 2016/679 · سارية المفعول منذ 25 مايو 2018 · قابلة للتطبيق مباشرة في جميع الدول الأعضاء الـ27 في الاتحاد الأوروبي بما في ذلك البرتغال

99 مادة173 ديباجة · غرامات 20 مليون € / 4%

القانون رقم 58/2019 — LPDP البرتغالي

قانون التطبيق الوطني · صدر في 8 أغسطس 2019 · يضيف تفاصيل وطنية حول سن الموافقة، والمراقبة بالفيديو، والمعالجة لأغراض صحفية

66 مادةسن الموافقة: 13

CNPD — Comissão Nacional de Proteção de Dados

هيئة حماية البيانات البرتغالية · تأسست عام 1994 · مقرها Av. D. Carlos I 134، لشبونة · 7 مفوضين منتخبين من قبل البرلمان

cnpd.ptعضو في المجلس الأوروبي لحماية البيانات · أكثر من 30 عامًا من الخبرة

منظومة RGPD الأوروبية — EDPB وDPF

يوحّد المجلس الأوروبي لحماية البيانات (EDPB) الممارسات بين الهيئات الرقابية · إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (يوليو 2023) يعيد تفعيل عمليات النقل إلى الولايات المتحدة

27 دولةلائحة واحدة · مجلس EDPB واحد

مسؤول حماية البيانات / EPD — Encarregado de Proteção de Dados

إلزامي في حالة المراقبة واسعة النطاق أو معالجة فئات خاصة من البيانات · مستقل · بيانات الاتصال منشورة في سجل CNPD وفي سياسة الخصوصية

المواد 37–39نطاق RGPD · سجل CNPD

عمليات النقل عبر الحدود — SCC + DPF

البنود التعاقدية النموذجية (SCC الأوروبية 2021) · مستوردون معتمدون بموجب إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة · تقييم أثر النقل (TIA) إلزامي

المواد 44–50متوافق مع Schrems II

هل أنت مستعد لجعل متجرك البرتغالي متوافقًا مع CNPD؟

تدمج Zunapro الامتثال لـ RGPD في كل عملية ربط مع الأسواق الإلكترونية البرتغالية — لافتة الموافقة، سجل أنشطة المعالجة، اتفاقيات المادة 28، سير عمل طلبات أصحاب البيانات، وخطة عمل خلال 72 ساعة للخروقات. الامتثال كبنية تحتية، وليس فكرة لاحقة.

🛡️ ابدأ الربط مع البرتغال

1. RGPD والقانون 58/2019 — الإطار البرتغالي ذو الطبقتين

RGPD: لائحة واحدة، 27 دولة

Regulamento Geral de Proteção de Dados (RGPD) هو التسمية البرتغالية للائحة الاتحاد الأوروبي 2016/679، التي اعتُمدت في 27 أبريل 2016 وأصبحت سارية المفعول منذ 25 مايو 2018. بصفتها لائحة أوروبية (وليست توجيهًا)، فإن RGPD لها أثر مباشر في البرتغال — إذ تُلزم موادها الـ99 كل متحكم ومعالج بيانات مقيم في البرتغال، بالإضافة إلى أي متحكم خارج الاتحاد الأوروبي يقدم سلعًا أو خدمات لأشخاص في البرتغال (المادة 3 الفقرة 2، التطبيق خارج الإقليم).

تنطبق الالتزامات نفسها سواء كان المشغل تاجرًا فرديًا في لشبونة، أو شركة ذات مسؤولية محدودة (Lda) في بورتو، أو شركة ألمانية تشحن إلى البرتغال، أو تاجرًا أمريكيًا على منصة Shopify يستهدف المستهلكين البرتغاليين. اللائحة محايدة تقنيًا وقائمة على المخاطر: المعالجة عالية المخاطر (التنميط، الفئات الخاصة، المراقبة واسعة النطاق) تستوجب التزامات أثقل.

القانون 58/2019: الطبقة البرتغالية

يترك RGPD عمدًا أكثر من 50 "بندًا مفتوحًا" للدول الأعضاء. مارست البرتغال هذه الخيارات من خلال القانون رقم 58/2019، الصادر في 8 أغسطسLei de Proteção de Dados Pessoais (LPDP) — الذي صدر بعد أكثر من عام من تاريخ سريان RGPD، ليحل محل القانون السابق رقم 67/98. يضيف LPDP قواعد خاصة بالبرتغال فوق RGPD:

  • سن الموافقة — 13 عامًا (المادة 16 من LPDP، أقل من الحد الافتراضي البالغ 16 عامًا في RGPD). يتطلب الأطفال دون سن 13 عامًا موافقة أبوية يمكن التحقق منها.
  • نظام المراقبة بالفيديو (المواد 19–22 من LPDP) — لافتات كاميرات المراقبة، فترة الاحتفاظ (افتراضيًا 30 يومًا)، إخطار CNPD للأماكن العامة.
  • المعالجة الصحفية/الأكاديمية/الفنية (المادة 24 من LPDP) — استثناءات محدودة توازن بين حماية البيانات وحرية التعبير.
  • المخالفات الإدارية (المواد 37–50 من LPDP) — قواعد إجرائية خاصة بالبرتغال تكمل غرامات المادة 83 من RGPD.

Lei das Comunicações Eletrónicas — طبقة ملفات تعريف الارتباط

هناك أداة ثالثة تكمل الإطار: القانون رقم 41/2004، وهو التطبيق البرتغالي لتوجيه الاتحاد الأوروبي بشأن الخصوصية الإلكترونية 2002/58/EC. المادة 5 الفقرة 3 هي المصدر القانوني لمتطلب موافقة ملفات تعريف الارتباط — تتطلب ملفات تعريف الارتباط والبكسلات وتقنيات البصمة الرقمية والتخزين المحلي موافقة مسبقة وحرة ومستنيرة بغض النظر عما إذا كانت تعالج بيانات شخصية أم لا. يحتاج كل موقع تجارة إلكترونية برتغالي إلى لافتة ملفات تعريف ارتباط بسبب قانون الخصوصية الإلكترونية، وليس بسبب RGPD نفسها.

📋
المصادر الرسمية: RGPD متاحة باللغة البرتغالية على موقع EUR-Lex؛ والقانون 58/2019 على موقع Diário da República؛ وإرشادات CNPD على موقع cnpd.pt. تقوم Zunapro بمزامنة النص الموحد لهذه الأدوات الثلاث في وحدة الامتثال الخاصة بها. راجع الموقع الرسمي لـ CNPD للاطلاع على سجل القرارات المباشر.

💡 اقرأ الدليل الكامل للربط مع الأسواق الإلكترونية البرتغالية

اربط Amazon.es/.fr، وWorten، وFnac، وContinente، وKuantoKusta مع التقاط موافقة متوافق مع RGPD وإنشاء سجل أنشطة معالجة مدمج.

الربط مع البرتغال ←

2. CNPD — هيئة حماية البيانات البرتغالية

المؤسسة

Comissão Nacional de Proteção de Dados (CNPD) هي الهيئة الرقابية المستقلة في البرتغال. تأسست بموجب القانون رقم 10/91 الصادر في 29 أبريل، وهي واحدة من أقدم هيئات حماية البيانات في الاتحاد الأوروبي، إذ سبقت توجيه حماية البيانات لعام 1995 بأربع سنوات. تعمل CNPD تحت إشراف الجمعية الوطنية (Assembleia da República) مع استقلالية وظيفية وقرارية كاملة (المادة 52 من RGPD).

تتكون CNPD من سبعة أعضاء: رئيس منتخب من البرلمان لولاية واحدة مدتها خمس سنوات غير قابلة للتجديد، بالإضافة إلى ستة أعضاء (اثنان برلمانيان، اثنان حكوميان، واثنان معينان بالتزكية). يقع مقرها في Avenida D. Carlos I، رقم 134، 1200-651 لشبونة.

صلاحيات CNPD

بموجب المواد 57–58 من RGPD، مكمّلة بالقانون 58/2019:

  • صلاحيات تحقيقية — طلب المعلومات، إجراء عمليات تدقيق وتفتيش، الوصول إلى منشآت وسجلات المعالجة
  • صلاحيات تصحيحية — إنذارات، توبيخات، أوامر بالامتثال لطلبات أصحاب البيانات، التصحيح، المحو، حظر المعالجة، تعليق التدفقات عبر الحدود
  • غرامات إدارية — تصل إلى 20 مليون يورو أو 4% من حجم الأعمال السنوي العالمي
  • صلاحيات ترخيص واستشارية — الموافقة على القواعد الملزمة للشركات (BCR)، وSCC، وآليات الاعتماد؛ تقديم المشورة للبرلمان والحكومة

كيفية التواصل مع CNPD

  • الموقع الإلكترونيcnpd.pt (سجل القرارات، نموذج الشكوى، نموذج الإخطار بالخرق)
  • البريد الإلكتروني العام[email protected]
  • الإخطار بالخرق — نموذج إلكتروني مخصص على موقع cnpd.pt
  • تسجيل مسؤول حماية البيانات — نموذج إلكتروني، تكون بيانات الاتصال مطلوبة خلال 30 يومًا من التعيين

CNPD مقارنة بهيئات حماية البيانات الأوروبية الأخرى — الأسلوب البرتغالي

أسلوب تطبيق CNPD معتدل لكنه صارم من الناحية التقنية. بالمقارنة مع الهيئة الإسبانية AEPD (المتشددة قضائيًا للغاية، تصدر آلاف القرارات سنويًا) أو الهيئة الفرنسية CNIL (تصدر إعلانات عقوبات عامة كبيرة)، تصدر CNPD قرارات أقل ولكنها تركز على الانتهاكات النظامية وتتعاون بشكل وثيق عبر آلية الاتساق التابعة للمجلس الأوروبي لحماية البيانات (EDPB). عادةً ما تجذب التجارة الإلكترونية البرتغالية انتباه CNPD من خلال ثلاثة مسارات: شكاوى أصحاب البيانات، والإخطارات الإلزامية بالخروقات، وعمليات التدقيق الناجمة عن التدقيق الإعلامي أو السياسي.

🛡️ تتزامن Zunapro تلقائيًا مع متطلبات CNPD

قالب سجل أنشطة المعالجة، وخطة عمل الخروقات، وسير عمل طلبات أصحاب البيانات، وبطاقة اتصال مسؤول حماية البيانات — كل ذلك مُهيأ مسبقًا وفقًا لتنسيق CNPD ونصوص باللغة البرتغالية موجهة للمستهلكين.

شاهد حزمة الامتثال لـ CNPD ←

الأساس القانوني

يستند التزام موافقة ملفات تعريف الارتباط في البرتغال إلى أساسين قانونيين متكاملين: المادة 5 الفقرة 3 من توجيه الاتحاد الأوروبي بشأن الخصوصية الإلكترونية 2002/58/EC، المطبقة بموجب القانون رقم 41/2004، ومتطلبات الموافقة الواردة في المادة 7 من RGPD. النتيجة المجتمعة هي أن أي ملف تعريف ارتباط أو بكسل أو حزمة تطوير برامج (SDK) أو نص برمجي للبصمة الرقمية أو كائن تخزين محلي أو تقنية تتبع مماثلة ليست ضرورية بشكل صارم لتقديم الخدمة التي طلبها المستخدم صراحةً تتطلب موافقة مسبقة وحرة ومحددة ومستنيرة وصريحة.

ما يُعتبر "ضروريًا بشكل صارم"

هناك فئة ضيقة معفاة من الموافقة لأنها ضرورية بشكل صارم للخدمة المطلوبة: ملفات تعريف ارتباط الجلسة (تسجيل الدخول، سلة التسوق)، ورموز CSRF، وملفات تعريف ارتباط موازنة التحميل، وملف تعريف ارتباط تفضيل الموافقة نفسه، وحالة مشغل الوسائط المتعددة للمحتوى المطلوب بنشاط، وتخصيص واجهة المستخدم التي يختارها المستخدم (اللغة، الوضع الداكن). كل شيء آخر — GA4، بكسل Meta، بكسل TikTok، Hotjar، Clarity، إعادة الاستهداف، ملفات تعريف ارتباط اختبار A/B، خطوط شبكة توصيل المحتوى (CDN) من طرف ثالث، مشغلات YouTube/Vimeo المدمجة، أزرار وسائل التواصل الاجتماعي التي تُحمَّل قبل التفاعل — يتطلب موافقة صريحة قبل وضعه.

كيف تبدو اللافتة المتوافقة

تحدد Orientações sobre cookies (2019/494) الصادرة عن CNPD، والمحدّثة عام 2022، الحد الأدنى من المتطلبات:

  • يجب أن تقدم الطبقة الأولى خيارات "قبول" و"رفض" و"إدارة التفضيلات". يجب أن يكون الرفض بارزًا بنفس القدر مثل القبول (نفس اللون والحجم والموضع). أزرار الرفض ذات النصوص الباهتة على غرار الأنماط الخادعة محظورة (EDPB).
  • الطبقة الثانية — مفاتيح تبديل دقيقة لكل فئة غير أساسية، معطلة افتراضيًا.
  • لا جدران لملفات تعريف الارتباط — منع الوصول عند الرفض غير قانوني (إرشادات EDPB رقم 05/2020).
  • لا "الاستمرار في التصفح يعني الموافقة" — التمرير أو التنقل لا يُعد موافقة.
  • السحب سهل بقدر منح الموافقة — زر عائم دائم أو رابط في التذييل.
  • إعادة الطلب كل 6–12 شهرًا، وسجل تدقيق للموافقة وفقًا للمادة 7 الفقرة 1 من RGPD.
🍪

فخ زر الرفض: أكثر ملاحظة شائعة من CNPD في عمليات تدقيق 2024-2026 هي اللافتات غير المتماثلة — زر أخضر بارز "قبول الكل" بجانب نص رمادي صغير مسطر بعبارة "رفض". يُعامل هذا على أنه فشل في الحصول على موافقة صحيحة ويُعرّض كل وضع لملف تعريف ارتباط للمساءلة. استخدم لافتة الموافقة المعتمدة من CNPD والتابعة لـ Zunapro ←

مستويات لافتة الموافقة — الفئات التي يجب تقديمها

ضرورية بشكل صارم
مفعّلة دائمًا
الجلسة، سلة التسوق، CSRF، اللغة، تخزين الموافقة نفسه — لا يلزم مفتاح تبديل
التحليلات والأداء
اشتراك اختياري
Google Analytics 4، Plausible، Matomo، Hotjar، Microsoft Clarity، وضع العلامات من جانب الخادم
التسويق والاستهداف
اشتراك اختياري
بكسل Meta، بكسل TikTok، Google Ads، Criteo، LinkedIn Insight، إعادة الاستهداف

🍪 اقرأ الدليل الكامل لموافقة ملفات تعريف الارتباط البرتغالية

Orientações 2019/494 الصادرة عن CNPD سطرًا بسطر، وقائمة تحقق للأنماط الخادعة، وإعداد وضع الموافقة الإصدار 2 لـ GA4، ولافتة الموافقة المدمجة من Zunapro المعتمدة مسبقًا للجمهور البرتغالي.

دليل موافقة ملفات تعريف الارتباط ←

4. سياسة الخصوصية — إلزامية ومحدّثة دائمًا

واجب الإعلام بموجب المادة 13

تتطلب المواد 12 و13 و14 من RGPD من كل متحكم بيانات تزويد أصحاب البيانات بمعلومات واسعة في لحظة جمع البيانات. بالنسبة لموقع التجارة الإلكترونية، تكون هذه اللحظة عادةً كل عملية إرسال نموذج — التسجيل، إتمام الشراء، النشرة الإخبارية، الاتصال، نموذج المراجعة. من الناحية العملية، تعيش هذه المعلومات في وثيقة واحدة، هي سياسة الخصوصية (Política de Privacidade)، المرتبطة من كل صفحة والمعروضة مرة أخرى عند كل نقطة جمع.

الحد الأدنى من المحتوى الإلزامي

تتضمن سياسة الخصوصية القابلة للدفاع أمام CNPD عام 2026 على الأقل:

  • هوية المتحكم — الاسم القانوني، رقم NIPC، المقر المسجل، البريد الإلكتروني للاتصال
  • اتصال مسؤول حماية البيانات إذا تم تعيينه — بريد إلكتروني مخصص مثل [email protected]
  • أغراض المعالجة — قائمة تفصيلية (تنفيذ الطلبات، خدمة العملاء، التسويق، التحليلات، منع الاحتيال، المحاسبة)
  • الأساس القانوني لكل غرض — المادة 6 الفقرة 1 من RGPD (الموافقة، العقد، الالتزام القانوني، المصالح الحيوية، المصلحة العامة، المصالح المشروعة)
  • اختبار موازنة المصالح المشروعة عند الاستناد إلى المادة 6 الفقرة 1 البند و
  • المستلمون — بوابات الدفع، شركات الشحن، الأسواق الإلكترونية، الاستضافة السحابية، مزودو خدمة البريد الإلكتروني
  • عمليات النقل الدولية — بلدان الوجهة، الآلية (SCC / قرار الملاءمة / DPF)، رابط للضمانات
  • فترات الاحتفاظ لكل فئة (الفواتير 10 سنوات، التسويق طالما بقيت الموافقة، التحليلات 14 شهرًا)
  • حقوق أصحاب البيانات — قائمة كاملة تشمل الحق في الشكوى إلى CNPD
  • الطبيعة القانونية أو التعاقدية لتقديم البيانات وعواقب الرفض
  • اتخاذ القرارات الآلية والتنميط، إن وُجد، بما في ذلك المنطق والأهمية
  • تاريخ آخر تحديث وسجل الإصدارات

لغة برتغالية واضحة — المادة 12 من RGPD

تتطلب المادة 12 الفقرة 1 من RGPD سياسة موجزة وشفافة ومفهومة ويسهل الوصول إليها بلغة واضحة وبسيطة. انتقدت CNPD مرارًا وتكرارًا السياسات المكتوبة بالإنجليزية فقط عند استهداف مستهلكين برتغاليين (تعزز المادة 2 من القانون 58/2019 متطلب اللغة البرتغالية)، وإعادة تدوير القوالب العامة دون تسمية معالجي البيانات الفعليين، وإخفاء المعلومات الأساسية في لغة قانونية معقدة تتكون من 10,000 كلمة، أو دمج سياسة الخصوصية مع شروط الاستخدام.

الإشعار متعدد الطبقات — أفضل الممارسات

تؤيد CNPD نهج الإشعار متعدد الطبقات الذي يتبناه EDPB: ملخص قصير في الأعلى (1-2 فقرة عن الهوية والأغراض والحقوق) متبوعًا بتفاصيل كاملة في أقسام قابلة للطي، بالإضافة إلى "ورقة معلومات" في كل نموذج (إشعار جمع من 2-3 جمل يربط بالسياسة الكاملة) للامتثال للمادة 13.

📜 سياسة خصوصية برتغالية مُنشأة تلقائيًا

تُنشئ Zunapro سياسة خصوصية باللغة البرتغالية قابلة للدفاع أمام CNPD بناءً على عمليات الربط الفعلية مع الأسواق الإلكترونية ومزودي الدفع ومجموعة التحليلات لديك — تُحدَّث تلقائيًا عند ربط معالج بيانات جديد.

مولّد سياسة الخصوصية ←

5. تعيين مسؤول حماية البيانات — متى وكيف

متى يكون تعيين مسؤول حماية البيانات إلزاميًا؟

تتطلب المادة 37 من RGPD مسؤول حماية بيانات (Encarregado de Proteção de Dados — EPD) في ثلاثة سيناريوهات: (أ) السلطات العامة (باستثناء المحاكم)؛ (ب) النشاط الأساسي = مراقبة منتظمة ومنهجية واسعة النطاق؛ (ج) النشاط الأساسي = معالجة واسعة النطاق لفئات خاصة من البيانات أو بيانات جنائية. بالنسبة للتجارة الإلكترونية البرتغالية، فإن المحفز العملي هو عادةً (ب). توضح إرشادات EDPB (WP 243 rev.01، التي تبنتها CNPD) أن "النشاط الأساسي" يستبعد الوظائف الثانوية مثل كشوف الرواتب؛ و"واسع النطاق" هو مفهوم سياقي (عدد الأشخاص، الحجم، المدة، النطاق الجغرافي).

أمثلة محفزات عملية

عتبات واقعية حيث يكون مسؤول حماية البيانات مستحسنًا بشدة أو إلزاميًا:

  • أكثر من 10,000 عميل في نظام إدارة علاقات العملاء (CRM) مع تجزئة سلوكية
  • إعادة استهداف مباشرة على Meta + Google Ads + TikTok مع مطابقة عبر الأجهزة
  • برنامج ولاء يتتبع تاريخ المعاملات عبر القنوات والزمن
  • مشغل سوق إلكتروني يعالج بيانات البائعين والمشترين في الوقت نفسه
  • تجارة إلكترونية للصحة أو التجميل أو الصيدلة تعالج بيانات قد تُصنف كبيانات صحية بموجب المادة 9
  • متجر منتجات أطفال يشغّل تدفقات موافقة أبوية لمن هم دون سن 13 عامًا

ماذا يفعل مسؤول حماية البيانات

تحدد المواد 38–39 من RGPD مهام وحماية مسؤول حماية البيانات:

  • إعلام وإرشاد المتحكم والمعالج والموظفين بشأن التزاماتهم
  • مراقبة الامتثال لـ RGPD والقانون 58/2019 والسياسات الداخلية، بما في ذلك التدريب
  • تقديم المشورة بشأن تقييمات أثر حماية البيانات عند تفعيلها بموجب المادة 35
  • التعاون مع CNPD كنقطة اتصال مع الهيئة الرقابية
  • الاستقلالية — لا يمكن توجيه تعليمات بشأن مهامه، ولا يمكن فصله بسبب أدائه لها (المادة 38 الفقرة 3)
  • عدم تضارب المصالح — لا يمكن أن يكون مسؤول حماية البيانات الرئيس التنفيذي أو مدير التسويق أو مدير تكنولوجيا المعلومات أو رئيس الموارد البشرية

مسؤول حماية بيانات داخلي مقابل خارجي + تسجيل لدى CNPD

يمكن أن يكون مسؤول حماية البيانات موظفًا أو مزود خدمة متعاقدًا. بالنسبة للشركات الصغيرة والمتوسطة البرتغالية، تتراوح تكلفة خدمة مسؤول حماية البيانات الخارجي عادةً بين 350–1,500 €/شهريًا حسب مدى التعقيد. تُلزم المادة 37 الفقرة 7 من RGPD المتحكم بنشر بيانات اتصال مسؤول حماية البيانات وإخطار CNPD عبر نموذجها الإلكتروني، مُحدَّثة خلال 30 يومًا من أي تغيير. يُعد عدم الإخطار انتهاكًا إجرائيًا يستوجب غرامة تصل إلى 10 ملايين يورو أو 2% من حجم الأعمال.

👤 خدمة مسؤول حماية بيانات كخدمة للبائعين البرتغاليين

تتشارك Zunapro مع متخصصين برتغاليين في RGPD لتقديم خدمات مسؤول حماية بيانات خارجي بدءًا من 350 €/شهريًا — تشمل التسجيل لدى CNPD، ودعم تقييمات أثر حماية البيانات، وخطة عمل الخروقات، وتدقيق امتثال ربع سنوي.

تفاصيل خدمة مسؤول حماية البيانات ←

6. حقوق أصحاب البيانات — اتفاقية مستوى خدمة تشغيلية

الحقوق الثمانية لأصحاب البيانات البرتغاليين

يمنح الفصل الثالث من RGPD كل فرد (سواء كان عميلًا أو عميلًا محتملًا أو جهة اتصال مورد أو موظفًا) مجموعة من الحقوق القابلة للتنفيذ:

  1. الحق في الإعلام (المواد 13–14) — يُمارس من خلال سياسة الخصوصية وإشعارات الجمع
  2. الحق في الوصول (المادة 15) — تأكيد معالجة البيانات بالإضافة إلى نسخة من البيانات وسياق المعالجة
  3. الحق في التصحيح (المادة 16) — تصحيح البيانات غير الدقيقة أو غير المكتملة
  4. الحق في المحو (المادة 17، "الحق في النسيان") — الحذف عند انطباق أحد الأسباب الستة
  5. الحق في تقييد المعالجة (المادة 18) — "تجميد" مؤقت لحين التحقق
  6. الحق في قابلية نقل البيانات (المادة 20) — تصدير قابل للقراءة آليًا للبيانات التي قدمها صاحب البيانات
  7. الحق في الاعتراض (المادة 21) — مطلق ضد التسويق المباشر؛ اختبار موازنة للمعالجة الأخرى
  8. الحق في عدم الخضوع لاتخاذ قرار آلي حصريًا (المادة 22) — بما في ذلك التنميط ذو الآثار القانونية أو المهمة بشكل مماثل

الجدول الزمني للرد — المادة 12 الفقرة 3 من RGPD

يجب على المتحكمين الرد خلال 30 يومًا، قابلة للتمديد شهرين إضافيين بسبب التعقيد أو الحجم — يجب إبلاغ التمديد خلال الشهر الأول مع ذكر الأسباب. بالنسبة للتجارة الإلكترونية البرتغالية التي تدير آلاف السجلات عبر أسواق إلكترونية متعددة، فإن اتفاقية مستوى الخدمة هذه صعبة من الناحية التشغيلية. تنشأ معظم الإخفاقات من البيانات المجزأة المنتشرة عبر Shopify وAmazon Seller Central وWorten Marketplace والبريد الإلكتروني وبرامج المحاسبة. يقلص سجل بيانات العملاء المركزي مثل سجل Zunapro وقت الاستجابة للمادة 15 من أيام إلى دقائق.

التحقق من الهوية والرفض

تسمح المادة 12 الفقرة 6 من RGPD بالتحقق الإضافي من الهوية فقط عند وجود شك معقول. الممارسة الشائعة: التحقق من البريد الإلكتروني المسجل، وطلب مستند هوية مُحجَّب اختياريًا. لا يُسمح بالرفض إلا عندما يكون الطلب واضح البطلان أو مفرطًا؛ ويجب على المتحكم إثبات ذلك، ويمكنه بدلاً من ذلك فرض رسوم معقولة.

الحق في المحو مقابل الاحتفاظ القانوني

توتر تشغيلي شائع: يطالب أحد العملاء بالمحو بموجب المادة 17، لكن يجب على المتحكم الاحتفاظ بالفواتير لمدة 10 سنوات (قانون ضريبة القيمة المضافة المادة 52) والسجلات المحاسبية لمدة 10 سنوات (القانون التجاري المادة 40). تحل المادة 17 الفقرة 3 البند ب من RGPD هذا التعارض — لا ينطبق المحو على البيانات المعالجة للامتثال لالتزام قانوني. المعالجة العملية: إخفاء هوية بيانات التسويق والسلوك، والاحتفاظ ببيانات الفواتير/المحاسبة في أرشيف مغلق بوصول مقيد، وإبلاغ العميل كتابيًا بما تم حذفه مقابل ما تم الاحتفاظ به.

⚖️

نصيحة تشغيلية: ابنِ سير عمل لطلبات أصحاب البيانات ينتج سجلات جاهزة للتدقيق: طابع زمني للاستلام، التحقق من الهوية، نطاق البحث، البيانات المُصدَّرة، عمليات الحجب المطبقة، الرد المُسلَّم. ستطلب CNPD هذا السجل في أي عملية تدقيق ناتجة عن شكوى. سير عمل طلبات أصحاب البيانات من Zunapro ←

7. خرق البيانات الشخصية — نافذة الإخطار خلال 72 ساعة

ما الذي يُعتبر خرقًا

تُعرّف المادة 4 الفقرة 12 من RGPD خرق البيانات الشخصية بأنه "خرق أمني يؤدي إلى تدمير أو فقدان أو تغيير عرضي أو غير قانوني للبيانات الشخصية المرسلة أو المخزنة أو المعالجة بطريقة أخرى، أو إلى الكشف عنها أو الوصول إليها دون تصريح". تتداخل ثلاث فئات في الممارسة العملية:

  • خرق السرية — كشف أو وصول غير مصرح به (تسريب بيانات، استخراج بواسطة قراصنة، بريد إلكتروني موجه بشكل خاطئ)
  • خرق النزاهة — تغيير غير مصرح به للبيانات (التلاعب بقاعدة البيانات، تشفير برامج الفدية)
  • خرق التوافر — فقدان الوصول إلى البيانات (إغلاق برنامج فدية دون استعادة، تدمير الخادم)

الإخطار إلى CNPD — المادة 33

عند وقوع خرق، يجب على المتحكم إخطار CNPD خلال 72 ساعة من علمه به، ما لم يكن من غير المرجح أن يشكل خطرًا على حقوق وحريات الأشخاص الطبيعيين. يجب أن يتضمن الإخطار:

  • طبيعة الخرق، بما في ذلك، حيثما أمكن، فئات وعدد تقريبي لأصحاب البيانات والسجلات المتأثرة
  • اسم وبيانات اتصال مسؤول حماية البيانات أو نقطة اتصال أخرى
  • العواقب المحتملة للخرق
  • التدابير المتخذة أو المقترحة لمعالجة الخرق وتخفيف آثاره السلبية المحتملة

عندما لا يمكن تقديم المعلومات الكاملة خلال 72 ساعة، يكون الإخطار الجزئي مقبولًا، على أن يتبعه الباقي دون تأخير لا مبرر له. يدعم نموذج الإخطار الإلكتروني بالخرق التابع لـ CNPD التحديثات التدريجية — يمكن أن يكون التقديم الأولي إشعارًا مؤقتًا يتبعه تحديثات تفصيلية خلال أيام.

الإخطار إلى أصحاب البيانات — المادة 34

إذا كان من المرجح أن يؤدي الخرق إلى خطر مرتفع على الحقوق والحريات، يجب على المتحكم أيضًا إبلاغ الخرق لأصحاب البيانات المتأثرين دون تأخير لا مبرر له، بلغة برتغالية واضحة، مع وصف الخرق بشكل ملموس وبيانات اتصال مسؤول حماية البيانات والعواقب وتدابير التخفيف. تُعفي ثلاثة استثناءات في المادة 34 الفقرة 3 من الإخطار المباشر: كانت البيانات مشفرة بمفاتيح غير مخترقة، أو أزالت التدابير اللاحقة الخطر المرتفع، أو سيتطلب الإخطار جهدًا غير متناسب (وفي هذه الحالة يُطلب بدلاً من ذلك إبلاغ عام).

سجل الخروقات الداخلي وخطة عمل 2026

تتطلب المادة 33 الفقرة 5 من RGPD توثيق جميع خروقات البيانات الشخصية (حتى تلك ذات المخاطر المنخفضة التي لم تتطلب إخطارًا): الطابع الزمني للعلم، مصدر الاكتشاف، التصنيف، النطاق، الفئات وعدد أصحاب البيانات، تقييم المخاطر، قرار الإخطار والطوابع الزمنية، الإصلاح، تحليل السبب الجذري، الدروس المستفادة. خطة عمل تشغيلية مدتها 72 ساعة:

  • الساعة 0 — الاكتشاف — التنبيه، الفرز الفوري، تحديد النطاق
  • الساعات 0–4 — الاحتواء — إلغاء بيانات الاعتماد، عزل الأنظمة، الحفاظ على الأدلة الجنائية
  • الساعات 4–24 — تقييم المخاطر — يقود مسؤول حماية البيانات التحليل وقرار الإخطار
  • الساعات 24–48 — الإخطار الأولي إلى CNPD عبر نموذج cnpd.pt (إشعار مؤقت مقبول)
  • الساعات 48–72 — الإخطار الكامل، تقرير بشأن إبلاغ أصحاب البيانات بموجب المادة 34
  • الأيام 3–7 — إبلاغ أصحاب البيانات إذا لزم الأمر (بريد إلكتروني + بيان عام)
  • من اليوم 7 فصاعدًا — الدروس المستفادة، تحديث السجل، المتابعة مع CNPD
🚨

يبدأ العد من "العلم"، وليس من "الوقوع". الخرق الذي حدث قبل أسابيع لكن لم يُكتشف إلا اليوم لا يزال يُفعّل نافذة الـ72 ساعة من لحظة الاكتشاف. وعلى العكس من ذلك، فإن الشك في أن "شيئًا ما قد يكون خاطئًا" لا يُعد بعد علمًا — فقط اليقين المعقول بأن خرقًا قد وقع هو ما يبدأ العد. اكتشاف الخروقات + خطة عمل 72 ساعة من Zunapro ←

8. عمليات نقل البيانات عبر الحدود — SCC بعد قضية Schrems II

زلزال Schrems II

في 16 يوليو 2020، أصدرت محكمة العدل التابعة للاتحاد الأوروبي حكم Schrems II (C-311/18)، مبطلة إطار عمل EU-US Privacy Shield الذي كان يحكم حتى ذلك الحين حوالي 5,000 تدفق بيانات عبر الأطلسي. أكدت المحكمة صحة البنود التعاقدية النموذجية (SCC)، لكنها أضافت شرطًا حاسمًا: يجب على المتحكم التحقق من أن قانون وممارسة بلد الوجهة يوفران حماية تعادل جوهريًا حماية RGPD؛ وإذا لم يكن الأمر كذلك، يجب تنفيذ تدابير تكميلية أو إيقاف النقل.

مجموعة أدوات النقل لعام 2026

يمكن لخمس آليات في الفصل الخامس من RGPD أن تُرخِّص قانونيًا عمليات النقل خارج المنطقة الاقتصادية الأوروبية:

  • المادة 45 — قرار الملاءمة — حاليًا: أندورا، الأرجنتين، كندا (تجاريًا)، جزر فارو، غيرنزي، إسرائيل، جزيرة مان، اليابان، جيرزي، نيوزيلندا، كوريا الجنوبية، سويسرا، المملكة المتحدة، أوروغواي. تُحتسب آيسلندا وليختنشتاين والنرويج ضمن المنطقة الاقتصادية الأوروبية.
  • المادة 46 — الضمانات المناسبة — SCC، القواعد الملزمة للشركات (BCR)، مدونات السلوك المعتمدة، الاعتمادات.
  • المادة 47 — القواعد الملزمة للشركات — داخل المجموعة، معتمدة من الهيئة الرقابية الرائدة ومجلس EDPB.
  • المادة 49 — الاستثناءات — الموافقة الصريحة (عرضية فقط)، ضرورة العقد، المصالح العامة/الحيوية. لا تُستخدم للأعمال الاعتيادية.
  • إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (DPF) — سارٍ المفعول منذ 10 يوليو 2023، ليحل محل Privacy Shield. يحصل المستوردون الأمريكيون المعتمدون ذاتيًا (AWS، Google، Microsoft، Meta، Salesforce، HubSpot، Mailchimp، Stripe، Shopify) على أساس ملاءمة بموجب المادة 45.

بنود SCC الأوروبية لعام 2021 + تقييم أثر النقل

بنود SCC 2021 الصادرة عن المفوضية (القرار التنفيذي 2021/914) نمطية وتشمل أربعة سيناريوهات: متحكم←متحكم، متحكم←معالج، معالج←معالج، معالج←متحكم. أُلغيت بنود SCC القديمة لعام 2010 للعقود الجديدة اعتبارًا من 27 سبتمبر 2021 ولجميع العقود اعتبارًا من 27 ديسمبر 2022 — أي بند SCC من عام 2010 لا يزال ساريًا في 2026 غير صالح ويجب ترحيله فورًا.

بعد قضية Schrems II وتوصيات EDPB رقم 01/2020، يجب على المتحكمين إكمال تقييم أثر النقل (TIA) لكل عملية نقل لا تستند إلى قرار ملاءمة: رسم خرائط النقل، الآلية (SCC/BCR/DPF)، تقييم قانون وصول الحكومة في الدولة الثالثة (FISA 702 في الولايات المتحدة)، التدابير التكميلية (التشفير أثناء التخزين بمفاتيح محفوظة في الاتحاد الأوروبي، إخفاء الهوية)، استنتاج بشأن الحماية المعادلة جوهريًا. لا تتطلب CNPD تقديم TIA مسبقًا، لكنها ستطلبها في أي عملية تدقيق تشمل معالجي بيانات خارج المنطقة الاقتصادية الأوروبية.

المجموعة التقنية العملية لعام 2026

  • الحوسبة السحابية (AWS / GCP / Azure) — معتمدة من DPF + مناطق الاتحاد الأوروبي؛ يُفضَّل استخدام مناطق الاتحاد الأوروبي، وتوثيق DPF كخيار احتياطي
  • البريد الإلكتروني (Mailchimp، SendGrid) — معتمد من DPF؛ البدائل الأوروبية مثل Brevo غالبًا ما تكون مفضلة
  • التحليلات (GA4) — معتمد من DPF + وضع الموافقة الإصدار 2 + إخفاء هوية IP
  • دعم العملاء (Zendesk، Intercom) — DPF + إضافات إقامة بيانات في الاتحاد الأوروبي متاحة
  • واجهات برمجة تطبيقات الأسواق الإلكترونية (Amazon SP-API) — موجهة عبر الاتحاد الأوروبي لحسابات البائعين الأوروبيين

🌍 إقامة البيانات في الاتحاد الأوروبي بشكل افتراضي

تستضيف Zunapro جميع بيانات العملاء البرتغاليين في مناطق الاتحاد الأوروبي (فرانكفورت + احتياطي لشبونة)، مع خيار احتياطي معتمد من DPF لأي معالج فرعي موجود حصريًا في الولايات المتحدة. قوالب TIA مُعدّة مسبقًا لمجموعتك التقنية.

تفاصيل إقامة البيانات ←

9. غرامات CNPD — تصل إلى 20 مليون يورو أو 4% من حجم الأعمال العالمي

العقوبات المتدرجة بموجب المادة 83

تُنشئ المادة 83 من RGPD مستويين للغرامات، حيث يمكن لـ CNPD فرض المبلغ الأعلى بين الحد الثابت أو نسبة حجم الأعمال:

المستوى الحد الأقصى للغرامة الانتهاكات المشمولة
المستوى 1 (المادة 83 الفقرة 4) 10 ملايين يورو أو 2% من حجم الأعمال السنوي العالمي السجلات (المادة 30)، الأمان (المادة 32)، الإخطار بالخرق (المواد 33–34)، تعيين مسؤول حماية البيانات (المواد 37–39)، تقييم أثر حماية البيانات (المواد 35–36)، موافقة الأطفال (المادة 8)، الاعتماد، مدونات السلوك
المستوى 2 (المادة 83 الفقرة 5) 20 مليون يورو أو 4% من حجم الأعمال السنوي العالمي الأساس القانوني (المواد 5–6)، شروط الموافقة (المادة 7)، الفئات الخاصة (المادة 9)، حقوق أصحاب البيانات (المواد 12–22)، عمليات النقل الدولية (المواد 44–49)، عدم الامتثال لأوامر CNPD
القانون 58/2019 مخالفات إدارية خاصة بالبرتغال تضيف المواد 37–50 من LPDP غرامات متدرجة لأمور خاصة بالبرتغال (المراقبة بالفيديو دون لافتات، انتهاك الاستثناء الصحفي، إلخ)

كيف تحسب CNPD الغرامة

العوامل التي تزنها CNPD بموجب المادة 83 الفقرة 2: الطبيعة والجسامة والمدة؛ الطابع المتعمد أو الإهمالي؛ جهود التخفيف؛ التدابير التقنية والتنظيمية؛ الانتهاكات السابقة؛ التعاون مع CNPD؛ فئات البيانات المتأثرة؛ كيفية معرفة الانتهاك؛ الالتزام بمدونات السلوك؛ الفوائد المالية المكتسبة أو الخسائر التي تم تجنبها.

غرامات CNPD البارزة — السجل التاريخي

  • 4.3 مليون € — INE (المعهد الوطني للإحصاء، 2021) — نقل بيانات التعداد إلى معالج بيانات فرعي أمريكي دون ضمانات المادة 46؛ أكبر غرامة برتغالية بموجب RGPD حتى الآن
  • 1.25 مليون € — مستشفى Barreiro (2018) — وصول مفرط إلى السجلات السريرية؛ الرعاية الصحية قطاع ذو أولوية لدى CNPD
  • 400,000 € — بلدية لشبونة (2021) — الكشف عن بيانات شخصية لمنظمي مظاهرات
  • 170,000 € — بنك Santander Totta (2021) — استجابة غير كافية لطلبات أصحاب البيانات
  • غرامات متعددة تتراوح بين 10,000–75,000 € للشركات الصغيرة والمتوسطة بسبب لافتات ملفات تعريف الارتباط، وعدم وجود بيانات اتصال مسؤول حماية البيانات، والإخطارات المتأخرة بالخروقات

ما بعد الغرامة — المسؤولية المدنية

تمنح المادة 82 من RGPD أصحاب البيانات الحق في التعويض عن الأضرار المادية أو غير المادية. بدأت المحاكم البرتغالية في منح تعويضات عن الأضرار غير المادية (القلق، فقدان السيطرة) تتراوح بين 500–5,000 € لكل صاحب بيانات متأثر — وعند ضربها في آلاف الأشخاص المتأثرين، يمكن أن تفوق المسؤولية المدنية الغرامة الإدارية بكثير. تغطية وسائل الإعلام لقرارات CNPD ثابتة ومضرة بالسمعة، خاصة بالنسبة للعلامات التجارية الموجهة للمستهلكين.

💼 توصيات التأمين السيبراني وتأمين RGPD

تقدم معظم شركات التأمين التجارية البرتغالية الآن وثائق تأمين مخصصة للأمن السيبراني وRGPD تغطي غرامات CNPD (حيثما كانت قابلة للتأمين)، والمسؤولية المدنية بموجب المادة 82، وتكاليف الاستجابة للخروقات. تنشر Zunapro قائمة وسطاء موثوقة.

مركز موارد التأمين ←

10. قائمة تحقق الامتثال لـ RGPD لعام 2026 للتجارة الإلكترونية البرتغالية

أفضل أداة لترجمة التشريع إلى عمليات تشغيلية هي قائمة تحقق ملموسة. تلخص القائمة أدناه كل عنصر قابل للتنفيذ تم تناوله في هذا الدليل، مرتبة حسب خطر التطبيق.

الحوكمة والتوثيق

  • عيّن مسؤول حماية بيانات إذا انطبقت محفزات المادة 37، وسجّله لدى CNPD
  • احتفظ بـسجل أنشطة معالجة (ROPA) (المادة 30) يغطي كل غرض وأساس قانوني وفئة وفترة احتفاظ ومستلم وعملية نقل
  • أجرِ تقييم أثر حماية البيانات (DPIA) (المادة 35) للمعالجة عالية المخاطر
  • وقّع اتفاقيات المادة 28 مع كل معالج بيانات (الحوسبة السحابية، البريد الإلكتروني، التحليلات، الأسواق الإلكترونية، المدفوعات، شركات الشحن)
  • وثّق تقييمات أثر النقل (TIA) لكل عملية نقل خارج المنطقة الاقتصادية الأوروبية
  • احتفظ بـسجل خروقات داخلي (المادة 33 الفقرة 5)

موجّه للمستخدم

  • انشر سياسة خصوصية باللغة البرتغالية تغطي كل عنصر من عناصر المادتين 13/14، متعددة الطبقات وذات إصدارات
  • انشر لافتة ملفات تعريف ارتباط متوافقة مع CNPD — قبول/رفض متماثلان، فئات دقيقة معطلة افتراضيًا، إمكانية سحب دائمة
  • اعرض إشعارات نقطة الجمع في كل نموذج (التسجيل، إتمام الشراء، النشرة الإخبارية، المراجعة)
  • وفّر قناة سهلة لطلبات أصحاب البيانات — بريد إلكتروني و/أو نموذج ويب مع رد خلال 30 يومًا
  • احترم الاعتراض على التسويق المباشر فورًا (المادة 21 الفقرة 3 مطلقة)

تقني وتنظيمي

  • طبّق أمان المادة 32 — التشفير أثناء التخزين وأثناء النقل، التحكم في الوصول، المصادقة متعددة العوامل (MFA) على لوحات الإدارة، فحوصات الثغرات
  • طبّق تقليل البيانات حسب التصميم (المادة 25)
  • طبّق سياسات الاحتفاظ بالحذف الآلي
  • استخدم إخفاء الهوية أو إخفاء الاسم المستعار حيثما أمكن، خاصة في التحليلات
  • اختبر خطة عمل الـ72 ساعة سنويًا من خلال تمرين محاكاة
  • درّب الموظفين الذين يتعاملون مع البيانات الشخصية — تجديد سنوي كحد أدنى

تدقيق امتثال ربع سنوي

أجرِ تدقيقًا ربع سنويًا منظمًا يغطي: حداثة سجل أنشطة المعالجة (ROPA) مقارنة بمعالجي البيانات المتصلين؛ إصدار سياسة الخصوصية مقارنة بواقع المعالجة الحالي؛ قائمة النصوص البرمجية للافتة ملفات تعريف الارتباط مقارنة بالفئات المعلنة؛ سجل طلبات أصحاب البيانات (العدد، وقت الاستجابة، أسباب التأخير)؛ سجل الخروقات (الحوادث، الأسباب الجذرية، الإصلاح)؛ جرد اتفاقيات المادة 28؛ جرد TIA؛ سجل تدريب الموظفين؛ سجل نشاط مسؤول حماية البيانات (الاستشارات، تقييمات أثر حماية البيانات، التفاعلات مع CNPD).

مركز امتثالك لـ RGPD البرتغالي في لوحة واحدة

تجمع Zunapro كل متطلبات RGPD — لافتة الموافقة، سجل أنشطة المعالجة (ROPA)، اتفاقيات المادة 28، سير عمل طلبات أصحاب البيانات، خطة عمل الخروقات، قوالب TIA، وسجل مسؤول حماية البيانات بتنسيق CNPD — إلى جانب عمليات الربط مع الأسواق الإلكترونية Amazon وWorten وFnac وContinente. الامتثال كبنية تحتية، وليس فكرة لاحقة.

فعّل الامتثال لـ RGPD ←

الأسئلة الشائعة حول RGPD البرتغالي 2026

ما هو RGPD وما علاقته بـ GDPR؟

RGPD (Regulamento Geral de Proteção de Dados) هو ببساطة الاسم البرتغالي للائحة العامة لحماية البيانات في الاتحاد الأوروبي 2016/679 (GDPR). إنهما حرفيًا نفس اللائحة، ويختلف فقط المسمى اللغوي.

في البرتغال، يُستكمل RGPD بـالقانون رقم 58/2019 (LPDP — Lei de Proteção de Dados Pessoais)، وهو قانون التطبيق الوطني الصادر في 8 أغسطس 2019، وتتولى تطبيقه CNPD (Comissão Nacional de Proteção de Dados)، الهيئة الرقابية البرتغالية.

من هي CNPD وما هي صلاحياتها؟

CNPD (Comissão Nacional de Proteção de Dados) هي هيئة حماية البيانات المستقلة في البرتغال، تأسست بموجب القانون رقم 10/91 — مما يجعلها واحدة من أقدم هيئات حماية البيانات في الاتحاد الأوروبي. تتكون من سبعة أعضاء تحت إشراف الجمعية الوطنية (Assembleia da República).

تحقق CNPD في الشكاوى، وتراجع المتحكمين ومعالجي البيانات، وتصدر قرارات ملزمة، وتفرض غرامات إدارية تصل إلى 20 مليون يورو أو 4% من حجم الأعمال السنوي العالمي في حالات الانتهاكات الجسيمة لـ RGPD. مقرها في Avenida D. Carlos I، رقم 134، في لشبونة.

هل لافتة موافقة ملفات تعريف الارتباط إلزامية قانونًا في البرتغال؟

نعم. تتطلب المادة 5 الفقرة 3 من توجيه الاتحاد الأوروبي بشأن الخصوصية الإلكترونية 2002/58/EC، المطبقة بموجب القانون رقم 41/2004، موافقة اختيارية قبل وضع أي ملفات تعريف ارتباط غير أساسية. تفصّل Orientações 2019/494 الصادرة عن CNPD (المحدّثة عام 2022) المتطلبات: قبول/رفض متماثلان، فئات دقيقة معطلة افتراضيًا، لا جدران لملفات تعريف الارتباط، لا "الاستمرار في التصفح يعني الموافقة".

فقط ملفات تعريف الارتباط الضرورية بشكل صارم (الجلسة، سلة التسوق، CSRF، تفضيل اللغة، تخزين الموافقة نفسه) معفاة من متطلب الموافقة. كل شيء آخر — Google Analytics، بكسل Meta، بكسل TikTok، إعادة الاستهداف، المحتوى المدمج من طرف ثالث — يتطلب موافقة صريحة مسبقة.

متى يجب على موقع التجارة الإلكترونية البرتغالي تعيين مسؤول حماية بيانات؟

تجعل المادة 37 من RGPD تعيين مسؤول حماية بيانات (Encarregado de Proteção de Dados — EPD) إلزاميًا عندما: (أ) يتضمن النشاط الأساسي مراقبة منهجية واسعة النطاق للأفراد (تتبع السلوك، التنميط، إعادة الاستهداف)؛ (ب) يتضمن النشاط الأساسي معالجة واسعة النطاق لفئات خاصة من البيانات (الصحة، البيانات البيومترية، الأصل العرقي)؛ أو (ج) يكون المتحكم هيئة عامة.

عادةً ما تستوفي شركات التجارة الإلكترونية البرتغالية متوسطة إلى كبيرة الحجم التي تستخدم إعادة الاستهداف أو الإعلانات البرمجية أو تنميط الولاء، أو تعالج أكثر من 10,000 سجل عميل، هذه المعايير، ويجب عليها تعيين مسؤول حماية بيانات وتسجيل جهة الاتصال الخاصة به لدى CNPD. تتوفر خدمة مسؤول حماية بيانات خارجي على نطاق واسع بدءًا من 350 €/شهريًا.

ما هي الحقوق التي يتمتع بها المستهلكون البرتغاليون بموجب RGPD؟

تمنح المواد 15-22 من RGPD أصحاب البيانات ثمانية حقوق: الوصول، التصحيح، المحو ("الحق في النسيان")، تقييد المعالجة، قابلية نقل البيانات بصيغة قابلة للقراءة آليًا، الاعتراض على المعالجة (مطلق ضد التسويق المباشر)، والحق في عدم الخضوع لاتخاذ قرار آلي حصريًا وله آثار قانونية.

يجب على المتحكمين الرد خلال 30 يومًا، قابلة للتمديد 60 يومًا للطلبات المعقدة. الرد مجاني ما لم يكن الطلب واضح البطلان أو مفرطًا. يجب تبرير الرفض ويمكن الطعن فيه أمام CNPD.

ما هي قاعدة الإخطار بالخرق خلال 72 ساعة؟

تُلزم المادة 33 من RGPD المتحكمين بإخطار CNPD خلال 72 ساعة من علمهم بخرق البيانات الشخصية، ما لم يكن من غير المرجح أن يشكل الخرق خطرًا على حقوق وحريات أصحاب البيانات. توفر CNPD نموذج إخطار إلكتروني على موقع cnpd.pt.

إذا كان الخرق قد يؤدي إلى خطر مرتفع، تتطلب المادة 34 أيضًا إخطارًا مباشرًا لأصحاب البيانات المتأثرين دون تأخير لا مبرر له. يُعد عدم الإخطار خلال 72 ساعة بحد ذاته انتهاكًا لـ RGPD يستوجب غرامة (تصل إلى 10 ملايين يورو أو 2% من حجم الأعمال). يبدأ العد من لحظة العلم، وليس من لحظة الوقوع.

كيف تتعامل البرتغال مع عمليات نقل البيانات عبر الحدود بعد قضية Schrems II؟

بعد حكم Schrems II الصادر عن محكمة العدل الأوروبية (C-311/18، يوليو 2020)، تتطلب عمليات نقل البيانات الشخصية خارج المنطقة الاقتصادية الأوروبية ضمانة بموجب المادة 46 من RGPD. الآلية الافتراضية للتجارة الإلكترونية البرتغالية هي البنود التعاقدية النموذجية الأوروبية لعام 2021 (القرار التنفيذي 2021/914).

يمكن أن تعتمد عمليات النقل إلى الولايات المتحدة أيضًا على إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (DPF، ساري المفعول منذ يوليو 2023) للمستوردين المعتمدين — AWS، Google، Microsoft، Meta، Salesforce، HubSpot وغيرهم. تتوقع CNPD من المتحكمين توثيق تقييم أثر النقل (TIA) لكل عملية نقل خارج المنطقة الاقتصادية الأوروبية.

ما هي الغرامات القصوى التي تفرضها CNPD بموجب RGPD؟

تحدد المادة 83 من RGPD مستويين: حتى 10 ملايين يورو أو 2% من حجم الأعمال السنوي العالمي للانتهاكات الإجرائية (السجلات، الأمان، الإخطار بالخرق، مسؤول حماية البيانات)، وحتى 20 مليون يورو أو 4% من حجم الأعمال السنوي العالمي للانتهاكات الجوهرية (الأساس القانوني، الموافقة، حقوق أصحاب البيانات، عمليات النقل الدولية). يُطبَّق المبلغ الأعلى بين الحد الأقصى أو النسبة المئوية.

فرضت CNPD غرامات بملايين اليوروهات، بما في ذلك 4.3 مليون € على INE (المعهد الوطني للإحصاء) عام 2021 بسبب عمليات نقل غير مؤمّنة إلى الولايات المتحدة، و1.25 مليون € على مستشفى Barreiro، وسلسلة من الغرامات على الشركات الصغيرة والمتوسطة بسبب لافتات ملفات تعريف الارتباط والتعامل مع طلبات أصحاب البيانات.

هل أحتاج إلى سياسة خصوصية مكتوبة على موقع التجارة الإلكترونية البرتغالي الخاص بي؟

نعم. تتطلب المواد 12 و13 و14 من RGPD من المتحكمين تزويد أصحاب البيانات بمعلومات شاملة حول المعالجة — هوية المتحكم ومسؤول حماية البيانات، الأغراض والأسس القانونية، المستلمون، بلدان النقل الدولي، فترات الاحتفاظ، حقوق أصحاب البيانات بما في ذلك الحق في تقديم شكوى إلى CNPD.

يجب أن تكون سياسة الخصوصية بلغة برتغالية واضحة وبسيطة (تعزز المادة 2 من القانون 58/2019 هذا المتطلب اللغوي)، منفصلة عن شروط الاستخدام، ويسهل الوصول إليها من كل صفحة (عادةً عبر رابط في التذييل)، ومُحدَّثة كلما تم ضم معالجي بيانات جدد أو إضافة أغراض جديدة. تفشل القوالب العامة المنسوخة بانتظام في عمليات تدقيق CNPD.

إلى متى يجب أن أحتفظ ببيانات العملاء بموجب RGPD؟

يتطلب RGPD تقليل البيانات وتحديد فترة التخزين (المادة 5 الفقرة 1 البنود ج-هـ). الاحتفاظ بالبيانات في التجارة الإلكترونية البرتغالية متدرج: بيانات الفوترة 10 سنوات (قانون ضريبة القيمة المضافة المادة 52)؛ السجلات المحاسبية 10 سنوات (القانون التجاري المادة 40)؛ موافقة التسويق إلى أجل غير مسمى طالما بقيت سارية ولكن يجب إعادة التحقق منها دوريًا؛ تحليلات الويب عادةً 14-26 شهرًا؛ تسجيلات المراقبة بالفيديو 30 يومًا كحد أقصى (قرار CNPD رقم 7680/2014).

يجب توثيق كل فئة في سجل أنشطة المعالجة (المادة 30 من RGPD) وإظهارها في سياسة الخصوصية. المحو بموجب المادة 17 لا يُلغي التزامات الاحتفاظ القانونية — بالنسبة للفواتير، احتفظ بها في أرشيف مغلق بدلاً من حذفها.

هل Google Analytics قانوني في البرتغال عام 2026؟

نعم، مع الضمانات المناسبة. بعد قضية Schrems II، حكمت عدة هيئات لحماية البيانات في الاتحاد الأوروبي (النمسا، فرنسا، إيطاليا) بعدم قانونية التطبيقات القياسية لـ GA3. يوفر Google Analytics 4 (GA4) مع شهادة إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (سارية المفعول منذ يوليو 2023) وإخفاء هوية عنوان IP الآن موقفًا يمكن الدفاع عنه في البرتغال — لم تحظر CNPD استخدام GA4.

أفضل الممارسات: نشر GA4 مع وضع الموافقة الإصدار 2، وتفعيل إخفاء هوية IP، وتعطيل إشارات Google حيثما لا تكون ضرورية بشكل صارم، وتوثيق تقييم أثر النقل. كما أن استخدام العلامات من جانب الخادم عبر GTM SS في منطقة تابعة للاتحاد الأوروبي يقلل بشكل إضافي من التعرض في عمليات النقل. تُزيل البدائل الأوروبية الحصرية مثل Plausible وMatomo هذه المشكلة تمامًا.

ما الفرق بين المتحكم بالبيانات ومعالج البيانات؟

المادة 4 من RGPD: يحدد المتحكم (responsável pelo tratamento) أغراض ووسائل المعالجة — وعادةً ما تكون شركة التجارة الإلكترونية نفسها. يقوم معالج البيانات (subcontratante) بمعالجة البيانات نيابة عن المتحكم وفقًا لتعليمات موثقة — وعادةً ما يكون موردين مثل مضيفي الحوسبة السحابية، ومزودي خدمة البريد الإلكتروني، والأسواق الإلكترونية، وبوابات الدفع.

تتطلب المادة 28 من RGPD اتفاقية معالجة بيانات (DPA) مكتوبة بين المتحكم والمعالج لكل نشاط معالجة. تنشر الأسواق الإلكترونية مثل أمازون وكبار مزودي البرمجيات كخدمة اتفاقيات DPA قياسية؛ وغالبًا ما يحتاج البائعون البرتغاليون الأصغر إلى اتفاقية DPA مخصصة باللغة البرتغالية. يواجه كل من المتحكم والمعالج غرامات المادة 83 في حالة عدم الامتثال.

هل يمكنني استخدام المصلحة المشروعة كأساس قانوني بدلاً من الموافقة؟

أحيانًا. تسمح المادة 6 الفقرة 1 البند و من RGPD بالمعالجة على أساس المصالح المشروعة فقط بعد اختبار موازنة موثق من ثلاثة أجزاء: (1) المصلحة مشروعة؛ (2) المعالجة ضرورية؛ (3) المصلحة لا تُرجَّح عليها حقوق صاحب البيانات.

يعمل هذا الأساس لمنع الاحتيال، والإدارة الداخلية، وأمن الشبكة، وبعض التسويق المباشر بين الشركات (B2B). لا يعمل مع ملفات تعريف الارتباط/أدوات التتبع (يسبقه قانون الخصوصية الإلكترونية)، ولا مع الفئات الخاصة من البيانات، ولا للتسويق تجاه من اعترضوا. يجب توثيق اختبار الموازنة في سجل أنشطة المعالجة (ROPA).

ماذا يحدث إذا قدّم عميل شكوى لدى CNPD؟

تفتح CNPD ملفًا، وتتواصل مع المتحكم للحصول على ملاحظات كتابية (عادةً خلال 10-20 يوم عمل)، وقد تطلب وثائق (سجل أنشطة المعالجة، سياسة الخصوصية، سجل طلبات أصحاب البيانات، سجل الخروقات، اتفاقيات DPA)، وتجري تحقيقًا كتابيًا أو ميدانيًا. تنتهي الإجراءات برفض الشكوى، أو إنذار، أو أمر تصحيحي، أو غرامة إدارية.

يقلل التعاون وإظهار موقف امتثال قابل للإثبات بشكل كبير من احتمالية فرض غرامة. تُنتج وحدة تحكم RGPD الخاصة بـ Zunapro عند الطلب جميع الوثائق القياسية بتنسيق برتغالي مقبول لدى CNPD.

اجعل تجارتك الإلكترونية البرتغالية جاهزة لـ RGPD بنقرة واحدة

لافتة ملفات تعريف ارتباط متوافقة مع CNPD · سياسة خصوصية باللغة البرتغالية · سجل أنشطة معالجة (ROPA) · اتفاقيات المادة 28 · سير عمل طلبات أصحاب البيانات · خطة عمل خلال 72 ساعة للخروقات · قوالب TIA · بطاقة اتصال مسؤول حماية البيانات. مُدمجة في كل عملية ربط مع الأسواق الإلكترونية البرتغالية على Zunapro. لا حاجة لعرض توضيحي تقني قانوني، ولا عقود طويلة الأمد.

🛡️ فعّل الامتثال لـ RGPD ←
مشاركة:

هل تحتاج إلى مساعدة؟

الخدمة ذات الصلة: تأسيس شركة

Contact Us

Get free consultation for your e-commerce project.

الدردشة عبر WhatsApp